El soporte es un verdadero agujero de seguridad.

Sigue todas las reglas de seguridad, usa contraseñas únicas, autenticación de dos factores, una computadora segura. ¿Crees que tu cuenta y tu información personal están seguras ahora? No El ejemplo de Amazon muestra que este no es el caso. El enlace más vulnerable en el sistema es el servicio de soporte de Amazon, que está listo para entregar su información personal a un extraño, si tiene las habilidades de ingeniería social.

La tragedia de Matt Honan aún no se ha borrado.(Año 2012). Literalmente, en una hora, el periodista pirateó las cuentas de Amazon, GMail, Apple y Twitter, destruyó remotamente información en su iPad, iPhone y MacBook. Entre otras cosas, perdió todas las fotografías de su hija desde su nacimiento, muchos documentos y la mayor parte de la correspondencia. Luego todo comenzó con el hecho de que el atacante llamó al soporte de Amazon utilizando los datos personales de la víctima de los registros de Whois en su sitio web.

Una historia similar sucedió con el desarrollador Eric Springer, un cliente de la tienda de AWS y Amazon. Y nuevamente, el soporte de Amazon ha demostrado ser una verdadera puerta trasera de seguridad.

Todo comenzó con el hecho de que Eric recibió una carta bastante inocente del equipo de soporte: “¡Hola! Gracias por contactarnos. Saludos cordiales, Maheshvaran ".

El problema es que Eric no los contactó.



Al principio, pensó que era una carta tardía de hace un mes cuando contactó con el soporte.

Sin embargo, prevaleció la curiosidad, y aún recurrió a Amazon con una pregunta, ¿qué pasaba? Respondieron que acababa de hablar con el departamento de soporte. Perplejo Eric envió un registro de chat.



Eric explica que la dirección indicada en el chat no es real, solo la usó una vez al registrar un dominio, por lo que esta dirección se almacena en los registros de Whois. Siguiente:



Como puede ver, después de dicha "confirmación de identidad", el oficial de soporte proporcionó información detallada sobre la orden: qué se ordenó, a qué dirección se envió, qué saldo de la cuenta, domicilio real y número de teléfono de la víctima. Esto ya es suficiente para comenzar un ataque real.

Eric Springer estaba muy enojado porque algunos de los que quedaban le dieron a una persona toda la información sobre él. Se puso en contacto con el soporte y, con dificultad para contenerse, le pidió que marcara su cuenta como en riesgo de ingeniería social, para que los chats se llevaran a cabo con él solo después de la autorización en el sistema. Un empleado de Amazon dijo que harán una nota en la cuenta, y un especialista lo contactará por separado (nunca se puso en contacto).

Después de un par de meses, cuando todo parecía estar en el pasado, llegó otra carta. De nuevo lo mismo: "Gracias por contactar Amazon.com ...".



Eric volvió a contactar a un empleado de soporte que no podía entender que alguien se estaba haciendo pasar por otra persona. Al final, todavía envió el registro de chat.



El hacker (o ingeniero social) usó la dirección que recibió en la etapa anterior del ataque.



Y de nuevo lo mismo. El oficial de soporte nuevamente proporcionó la dirección de entrega, es decir, la dirección real de la casa de la víctima.

A continuación, el pirata informático intentó descubrir los últimos cuatro dígitos de la tarjeta de crédito. Gracias a Dios, no tuvo éxito, de lo contrario habría obtenido acceso a muchos otros servicios web, incluido Apple iCloud, como es el caso de Matt Honan.



Eric contactó al calibrador y repitió el mismo mantra sobre la importancia de mantener su cuenta segura y no proporcionar ninguna información personal a nadie. Prometieron etiquetar la cuenta y que esto nunca volverá a suceder, y que un especialista lo contactará (esto no volvió a suceder).

Basado en los resultados de la historia, Eric Springer decidió que no se debería confiar en la compañía, por lo que eliminó por completo la información sobre su dirección de la cuenta de Amazon.

Pronto recibió otra carta, claramente escrita en respuesta a una conversación previa (que no fue).



Esta vez, no se pudo obtener el registro de chat porque el atacante llamó por teléfono.

No está claro qué busca el hacker, pero una cosa está clara: el tipo claramente no tiene mucha experiencia. Si lo desea, el ingeniero social podría hacer mucho más daño utilizando la puerta trasera principal del sistema de seguridad: el servicio de soporte.

Eric Springer recomienda que todos los usuarios de Amazon tengan cuidado y estén preparados para este tipo de ataques. A su vez, recomienda que comience a chatear con los clientes solo después de que inicien sesión en la tienda en línea. Se puede hacer una excepción si una persona ha olvidado la contraseña.

Source: https://habr.com/ru/post/es389453/